보안을 위한 모범 사례 - Amazon EKS
이 설명서의 사용법공동 책임 모델 이해소개피드백참고 문헌도구 및 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안을 위한 모범 사례

이 가이드는 위험 평가 및 완화 전략을 통해 비즈니스 가치를 제공하는 EKS 동시에 신뢰할 수 있는 정보, 시스템 및 자산을 보호하는 방법에 대한 조언을 제공합니다. 이 지침은 고객이 모범 사례에 EKS 따라 구현하는 데 도움이 되도록 게시AWS하는 일련의 모범 사례 가이드의 일부입니다. 성능, 운영 우수성, 비용 최적화 및 신뢰성에 대한 가이드는 향후 몇 달 내에 제공될 예정입니다.

이 설명서의 사용법

이 가이드는 EKS 클러스터 및 지원하는 워크로드에 대한 보안 제어의 효과를 구현하고 모니터링할 책임이 있는 보안 실무자를 위한 것입니다. 이 가이드는 사용하기 쉽도록 다양한 주제 영역으로 구성되어 있습니다. 각 주제는 간단한 개요로 시작되며, EKS 클러스터 보안을 위한 권장 사항 및 모범 사례 목록이 이어집니다. 주제를 특정 순서로 읽을 필요는 없습니다.

공동 책임 모델 이해

보안 및 규정 준수는 와 같은 관리형 서비스를 사용할 때 공유 책임으로 간주됩니다EKS. 일반적으로 AWS는 클라우드의 보안 ''에 대한 책임이 있는 반면, 고객인 는 클라우드의 보안 ''에 대한 책임이 있습니다. 를 사용하면 EKSAWS가 EKS 관리형 Kubernetes 제어 영역을 관리할 책임이 있습니다. 여기에는 안전하고 신뢰할 수 있는 서비스를 제공하는 AWS 데 필요한 Kubernetes 제어 영역 노드, ETCD 데이터베이스 및 기타 인프라가 포함됩니다. 의 소비자는 포IAM드 보안EKS, 런타임 보안, 네트워크 보안 등과 같은 이 가이드의 주제에 대해 주로 책임을 집니다.

인프라 보안과 관련하여 AWS는 자체 관리형 작업자에서 관리형 노드 그룹으로, Fargate로 이동할 때 추가 책임을 맡습니다. 예를 들어 Fargate를 사용하면 AWS가 포드를 실행하는 데 사용되는 기본 인스턴스/런타임을 보호할 책임이 있습니다.

공동 책임 모델 - Fargate

공동 책임 모델 - Fargate

AWS 또한 는 Kubernetes 패치 버전 및 보안 패치를 사용하여 EKS 최적화된 AMI 를 최신 상태로 유지할 책임이 있습니다. 관리형 노드 그룹(MNG)을 사용하는 고객은 API, EKS CLI, Cloudformation 또는 AWS 콘솔을 AMI 통해 노드 그룹을 최신으로 업그레이드할 책임이 있습니다. 또한 Fargate와 달리 MNGs는 인프라/클러스터를 자동으로 확장하지 않습니다. 클러스터-오토스케일러 또는 Karpenter , 네이티브 AWS 오토스케일링, Ocean , Atlassian의 SpotInst에스컬레이터 와 같은 기타 기술에서 처리할 수 있습니다.

공동 책임 모델 - MNG

공동 책임 모델 - MNG

시스템을 설계하기 전에 책임과 서비스 공급자() 간의 경계선이 어디에 있는지 아는 것이 중요합니다AWS.

공동 책임 모델에 대한 자세한 내용은 https://aws.amazon.com/compliance/shared-responsibility-model/를 참조하세요.

소개

관리형 Kubernetes 서비스를 사용할 때 다음과 같은 몇 가지 보안 모범 사례 영역이 있습니다EKS.

  • ID 및 액세스 관리

  • 포드 보안

  • 런타임 보안

  • 네트워크 보안

  • 멀티테넌시

  • 다중 테넌시용 다중 계정

  • 탐지 제어

  • 인프라 보안

  • 데이터 암호화 및 보안 암호 관리

  • 규정 준수

  • 인시던트 대응 및 포렌식

  • 이미지 보안

모든 시스템 설계의 일환으로 보안 영향과 보안 태세에 영향을 미칠 수 있는 관행에 대해 생각해야 합니다. 예를 들어 리소스 집합에 대해 작업을 수행할 수 있는 사용자를 제어해야 합니다. 또한 보안 인시던트를 빠르게 식별하고, 시스템 및 서비스를 무단 액세스로부터 보호하고, 데이터 보호를 통해 데이터의 기밀성과 무결성을 유지하는 기능이 필요합니다. 보안 인시던트에 대응하기 위한 잘 정의되고 리허설된 일련의 프로세스를 갖추면 보안 태세도 개선됩니다. 이는 금전적 손해 방지 또는 규제 의무 준수 등 목표 달성을 뒷받침하는 중요한 도구이자 기법입니다.

AWS 는 광범위한 보안 의식 고객의 피드백을 기반으로 진화된 풍부한 보안 서비스 세트를 제공하여 조직이 보안 및 규정 준수 목표를 달성할 수 있도록 지원합니다. 매우 안전한 기반을 제공함으로써 고객은 '미분화 헤비 리프팅'에 소요되는 시간을 줄이고 비즈니스 목표 달성에 더 많은 시간을 할애할 수 있습니다.

피드백

이 가이드는 더 광범위한 EKS/Kubernetes 커뮤니티로부터 직접적인 피드백과 제안을 수집하기 GitHub 위해 에 릴리스됩니다. 가이드에 포함해야 한다고 생각되는 모범 사례가 있는 경우 문제를 제기하거나 GitHub 리포지토리에 PR을 제출하세요. 새 기능이 서비스에 추가되거나 새 모범 사례가 발전할 때 가이드를 주기적으로 업데이트하는 것이 목적입니다.

참고 문헌

Security Audit Working Group에서 후원하는 Kubernetes Security 백서 는 보안 실무자가 건전한 설계 및 구현 결정을 내릴 수 있도록 지원하기 위한 목적으로 Kubernetes 공격 표면 및 보안 아키텍처의 주요 측면을 설명합니다.

는 클라우드 네이티브 보안에 대한 백서도 CNCF 게시했습니다. 이 백서에서는 기술 환경이 어떻게 발전했는지 살펴보고 DevOps 프로세스 및 민첩한 방법론과 일치하는 보안 관행의 채택을 지지합니다.

도구 및 리소스

Amazon EKS Security Immersion 워크숍

📝 에서 이 페이지 편집 GitHub